尝试使用 REST API 公开对象时出现“拒绝访问。提供的范围未经授权”错误

Question

我正在尝试为 Google Cloud Storage 存储桶中的单个对象设置权限，以使它们公开可见，遵循 the steps indicated in Google's documentation。当我尝试使用我们的应用程序服务帐户发出这些请求时，它失败并显示 HTTP 状态 403 和以下消息：

访问被拒绝。提供范围未经授权。

其他请求工作正常。当我尝试做同样的事情但通过为我的个人帐户提供令牌时，对对象的 ACL 的 PUT 请求工作......大约 50% 的时间（其余时间是 503 错误，可能相关也可能不相关）。

更改服务帐户的 IAM 策略以匹配我的 - 它通常具有存储管理员和一些其他附带角色 - 没有帮助，即使我赋予它整体 Owner IAM 角色，这是我所拥有的。

既不使用XML API 也不使用JSON 版本会有所不同。该请求有时适用于我的个人凭据，这向我表明该请求的格式不正确，但必须有其他我迄今为止忽略的东西。有什么想法吗？

Answer 1

如果您使用的是默认计算引擎服务帐户，请检查服务帐户的范围。默认情况下，范围受到限制，对于 GCS，它是只读的。清除缓存时使用 rm -r ~/.gsutil 清除缓存

Answer 2

按照您提供的documentation，考虑以下几点：

• 存储桶的访问控制系统必须细粒度（不统一）。

• 为了使对象公开可用，请确保存储桶未启用公共访问阻止。查看此link 了解更多信息。

• 授予服务帐号在存储桶中的适当权限。 Storage Legacy Object Owner 角色 (roles/storage.legacyObjectOwner) 需要编辑对象 ACL，如 here 所示。可以为单个存储桶授予此角色，而不是为项目授予此角色。

• 按照文档中的说明创建json 文件。

• 使用gcloud auth application-default print-access-token 获取授权访问令牌并在 API 调用中使用它。 API 调用应如下所示：

curl -X POST --data-binary @JSON_FILE_NAME.json \
  -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/o/OBJECT_NAME/acl"

Answer 3

您需要在创建实例时添加 OAuth 范围：cloud-platform。看：https://cloud.google.com/sdk/gcloud/reference/compute/instances/create#--scopes

选择“允许完全访问所有 Cloud API”或选择细粒度方法

Answer 4

尝试从 GCE 实例访问 GCS 并收到此错误消息时...
默认scope 是devstorage.read_only，这会阻止所有写操作。

不确定是否需要范围 https://www.googleapis.com/auth/cloud-platform，而在默认情况下给出范围 https://www.googleapis.com/auth/devstorage.read_only（例如，读取启动脚本）。范围应该是：https://www.googleapis.com/auth/devstorage.read_write。

---

并且可以使用gcloud beta compute instances set-scopes 来编辑实例的范围：

gcloud beta compute instances set-scopes $INSTANCE_NAME \
  --project=$PROJECT_ID \
  --zone=$COMPUTE_ZONE \
  --scopes=https://www.googleapis.com/auth/devstorage.read_write \
  --service-account=$SERVICE_ACCOUNT

也可以传递所有已知的作用域别名，例如：--scopes=cloud-platform。由于权限的原因，该命令必须在实例外部运行 - 并且必须关闭实例才能更改服务帐户。